Inicio  ›  Artículos  ›  ¿Cuánto les ha costado la CCPA a las empresas? Desglose de los 23,2 millones de dólares en multas por privacidad

¿Cuánto les ha costado la CCPA a las empresas? Desglose de los 23,2 millones de dólares en multas por incumplimiento de la normativa de privacidad

Escrito por: Natasha Piirainen Natasha Piirainen | Actualizado el: 12 de mayo de 2026

Revisado por: Amanda LeeAmanda Lee

Las multas más elevadas impuestas hasta la fecha en virtud de la CCPA-01

A continuación, desglosamos los 23,2 millones de dólares en multas por infringir la Ley de Privacidad del Consumidor de California (CCPA) que se han impuesto a las empresas hasta la fecha y analizamos qué acciones de estas empresas infringieron esta importante ley de privacidad.

Además, descubre cómo Termly ayudar a tu empresa a cumplir fácilmente con la CCPA y otras leyes de protección de datos de todo el mundo.

Índice
  1. ¿Cuál es el coste total de todas las multas impuestas hasta ahora en virtud de la CCPA?
  2. ¿Cuáles son las 10 multas más elevadas impuestas hasta ahora en virtud de la CCPA?
  3. Una constante: las empresas no cumplen los requisitos de exclusión voluntaria de la CCPA
  4. Cómo Termly las empresas a cumplir con la CCPA
  5. La mayor multa impuesta hasta la fecha en virtud de la CCPA: preguntas frecuentes
  6. Referencias

¿Cuál es el coste total de todas las multas impuestas hasta ahora en virtud de la CCPA?

Hasta la fecha, las multas impuestas en virtud de la CCPA ascienden a un total de al menos 23 205 881 dólares a fecha de mayo de 2026.

La Fiscalía General de California mantiene una lista de todas las medidas coercitivas en el «Privacy Enforcement Tracker», que está disponible públicamente en su sitio web.

Se prevé que esta cifra siga aumentando, sobre todo ahora que la CCPA está plenamente en vigor y que las entidades han tenido varios años para adaptarse por completo a esta estricta ley de protección de datos y cumplir con ella.

¿Cuáles son las 10 multas más elevadas impuestas hasta ahora en virtud de la CCPA?

Las leyes de protección de datos en Estados Unidos son relativamente recientes, pero tienen consecuencias de gran alcance.

Según Gartner, se calcula que en 2025 se impusieron multas por un total de 3.425 millones de dólares en virtud de las leyes de privacidad de EE. UU.

A continuación se enumeran las principales sanciones e infracciones impuestas a diversas empresas por incumplir la Ley de Privacidad del Consumidor de California (CCPA), considerada una de las leyes de privacidad más estrictas del país.

1. General Motors: multa de 12 750 000 dólares

En mayo de 2026, la Agencia de Protección de la Privacidad de California (CalPrivacy o CPPA) anunció un acuerdo con General Motors que supuso la mayor multa de la historia de la CCPA. La cuantía ascendió a la friolera de 12,75 millones de dólares debido a que la empresa presuntamente infringió la CCPA al vender ilegalmente los datos personales de millones de californianos.

Además, es el primer caso de minimización de datos en la historia del derecho.

Este caso, que aún está pendiente de la aprobación del tribunal, no solo impondría una multa, sino que también obligaría a la empresa a restringir el uso de los datos de conducción de los consumidores y prohibiría la venta de dicha información a intermediarios de datos.

El fiscal general de California, Rob Bonta, se pronunció sobre el acuerdo y declaró:

«General Motors vendió los datos de los conductores de California sin su conocimiento ni consentimiento y a pesar de las numerosas declaraciones en las que se les aseguraba que no lo haría».

Añadió:«El acuerdo alcanzado hoy obliga a General Motors a abandonar estas prácticas ilegales y subraya la importancia de la minimización de datos en la legislación sobre privacidad de California: las empresas no pueden limitarse a conservar los datos y utilizarlos más adelante con otros fines».

Este acuerdo aborda la forma en que se aplican las leyes de protección de datos a los automóviles modernos, que se han convertido en dispositivos móviles de recopilación de datos.

descargo de responsabilidad: Este acuerdo aún está sujeto a la aprobación del tribunal.

2. The Walt Disney Company: multa de 2 750 000 dólares

En febrero de 2026, Disney fue sancionada por incumplir los requisitos de exclusión voluntaria establecidos por la CCPA, lo que le supuso una multa de 2 750 000 dólares.

En concreto, la empresa no respetó las solicitudes de baja de los usuarios en todos sus servicios y dispositivos, incluidos Disney+, Hulu y ESPN+.

La Fiscalía General citó en su momento al fiscal general Rob Bonta, quien afirmó:

«Los consumidores no deberían tener que hacer lo imposible por hacer valer sus derechos a la privacidad».

Esto se debe a que la Agencia de Protección de la Privacidad de California determinó que las opciones de exclusión voluntaria de Disney en aquel momento presentaban varias lagunas que permitían a la empresa seguir vendiendo y compartiendo los datos de los consumidores.

Cuando los usuarios utilizaban el botón de desactivación, la solicitud solo se aplicaba al servicio de streaming concreto que se estaba viendo y, a menudo, únicamente en el dispositivo que se estaba utilizando en ese momento.

Esto provocó que sus datos siguieran vendiéndose o compartiéndose desde otros servicios de streaming propiedad de Disney en distintos dispositivos conectados a sus cuentas.

También proporcionaron un formulario web para darse de baja, pero este solo impedía el intercambio de datos a través de la propia plataforma publicitaria y los servicios de Disney.

La empresa seguía vendiendo y compartiendo los datos con empresas externas de tecnología publicitaria.

Además, limitaron las solicitudes de exclusión voluntaria procedentes de la configuración de «Control global de privacidad» a dispositivos específicos, independientemente de si el usuario había iniciado sesión en su cuenta.

Como consecuencia, Disney tuvo que pagar una multa multimillonaria y se vio obligada a implementar métodos de exclusión voluntaria que impidieran de forma efectiva y total la venta y el intercambio de datos de los consumidores.

3. Healthline Media: multa de 1 550 000 dólares

En julio de 2025, Healthline Media LLC fue sancionada por infringir las directrices de exclusión voluntaria establecidas en la CCPA, entre las que se incluyen las solicitudes de exclusión voluntaria de la publicidad personalizada y el intercambio de datos con terceros.

El acuerdo definitivo incluía una multa de 1 550 000 dólares en concepto de sanciones civiles, así como medidas judiciales que prohibían a la empresa difundir títulos de artículos que revelaran el diagnóstico de un consumidor, impidiéndole llevar a cabo este tipo de recopilación de datos.

El fiscal general Bonta se pronunció al respecto diciendo:

«Nuestro acuerdo con Healthline pone de relieve que los californianos gozan de derechos fundamentales en materia de privacidad en virtud de la CCPA para hacer frente a la vigilancia en línea, incluida la que llevan a cabo los administradores de sitios web».

Según el sitio web de la OAG, Healthline.com es uno de los 40 sitios web más visitados del mundo y obtiene ingresos a través de la publicidad.

Sin embargo, habilitaron cookies y píxeles que recopilaban datos sobre sus lectores y los transmitían a terceros, algunos de los cuales podían utilizarse para identificar de forma inequívoca a personas concretas.

Se descubrió que decenas de rastreadores se ejecutaban y compartían datos en los primeros milisegundos de la carga de las páginas web.

Además de la cuantiosa multa, se exigió a la empresa que garantizara el correcto funcionamiento de los mecanismos de exclusión voluntaria y se le obligó a dejar de divulgar información que pudiera vincular a un usuario con el título de un artículo concreto que diera a entender que se le había diagnosticado una enfermedad, entre otras obligaciones correctivas.

4. Jam City: multa de 1 400 000 dólares

La plataforma de juegos para móviles Jam City fue sancionada con una multa de 1 400 000 dólares por infringir la CCPA en noviembre de 2025, al incumplir los requisitos de exclusión voluntaria y gestionar de forma inadecuada los datos de menores de edad identificados.

La empresa es conocida por crear juegos basados en diversas franquicias muy populares entre los niños, como Harry Potter, Frozen y otras.

Pero este caso difiere de otros porque pone de manifiesto que incluso las aplicaciones móviles están sujetas a los estrictos requisitos de la CCPA.

El fiscal general Bonta declaró lo siguiente:

«A muchos californianos les gusta relajarse después de un largo día jugando en el móvil. Incluso en el caso de las aplicaciones, la legislación de California obliga a las empresas a ofrecer a los consumidores la posibilidad de oponerse a la venta y al intercambio de sus datos personales».

Además de las multas, se ordenó a la empresa que ofreciera opciones de exclusión dentro del juego para la venta o el intercambio de datos, y se le prohibió vender los datos de los consumidores de entre 13 y 16 años sin su consentimiento expreso.

5. Tractor Supply Company: multa de 1 350 000 dólares

En septiembre de 2025, la CPPA impuso a Tractor Supply Company una multa de 1 350 000 dólares por no haber atendido las solicitudes de exclusión voluntaria y por no contar con una política de privacidad que informara a los consumidores y a los solicitantes de empleo de sus derechos.

Además, se descubrió que revelaban información personal a otras empresas sin haber firmado contratos que incluyeran cláusulas de protección de la privacidad.

Además de la cuantiosa multa, se ordenó a la mayor cadena minorista del país dedicada al estilo de vida rural que aplicara amplias medidas correctoras para subsanar sus actividades de tratamiento de datos, entre las que se incluye la obligación de que un directivo o consejero certifique el cumplimiento de la normativa en un plazo de cuatro años.

En aquel momento, se trataba de la multa más elevada de la historia de la CPPA.

También fue la primera resolución que abordó la importancia de los avisos de privacidad y los derechos de privacidad de los solicitantes de empleo.

6. Sephora: multa de 1 200 000 dólares

En agosto de 2022, la cadena de tiendas de cosméticos Sephora fue sancionada con una multa de 1 200 000 dólares por no haber informado de la venta de datos personales y no haber respetado los derechos de exclusión voluntaria, en contravención de la CCPA.

En concreto, la empresa no atendió las solicitudes de exclusión voluntaria de los consumidores que utilizaban tecnologías como Global Privacy Control.

Además, se ordenó a la empresa que aclarara la información que publica en línea y su política de privacidad para incluir una declaración en la que se confirme que vende datos, que ofrezca mecanismos de exclusión voluntaria a los consumidores y que verifique que los acuerdos con sus proveedores de servicios cumplen los requisitos de la CCPA, entre otras medidas correctivas.

En aquel momento, el fiscal general Bonta declaró lo siguiente:

«Espero que el acuerdo alcanzado hoy envíe un mensaje claro a las empresas que siguen incumpliendo la ley de privacidad del consumidor de California. Mi oficina está atenta y les haremos rendir cuentas».

Casi cuatro años después, y tras haberse impuesto multas por valor de millones de dólares a otras empresas, está claro que lo decía en serio.

Fuente: https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement

7. PlayOn Sports: multa de 1 100 000 dólares

En marzo de 2026, la empresa de medios deportivos para jóvenes PlayOn Sports fue sancionada por infringir la CCPA debido al uso de «dark patterns» y al uso indebido de los datos de los estudiantes.

Esta entidad, utilizada por colegios de todo Estados Unidos para vender entradas para eventos deportivos escolares, representaciones teatrales y otras actividades extracurriculares —como el baile de fin de curso y la fiesta de bienvenida—, utilizaba tecnologías de seguimiento para enviar ilegalmente publicidad personalizada a los titulares de entradas y a otras personas que utilizaban sus servicios.

El responsable de cumplimiento de CalPrivacy, Michael Macko, fue citado al respecto por privacy.ca.gov diciendo:

«Los estudiantes que quieran ir al baile de fin de curso o a un partido de fútbol americano del instituto no deberían tener que renunciar a su derecho a la privacidad».

Además de la multa, se ordenó a la empresa que realizara evaluaciones de riesgos, facilitara información adecuada que fuera fácil de leer y comprender, y aplicara protocolos de exclusión voluntaria.

8. Ford Motor Company: multa de 375 703 dólares

En marzo de 2026, Ford Motor Company fue sancionada con una multa de 375 703 dólares por infringir los derechos de exclusión voluntaria y aplicar mecanismos que no cumplían con la CCPA.

En concreto, Ford exigía a los clientes que completaran un proceso de verificación por correo electrónico antes de permitirles oponerse a la venta o al intercambio de sus datos personales.

Además, se ordenó a la empresa que modificara sus prácticas de tratamiento de datos, lo que incluye facilitar a los consumidores una forma sencilla de presentar solicitudes de exclusión voluntaria y llevar a cabo una auditoría de sus tecnologías de seguimiento.

Tom Kemp, director ejecutivo de CalPrivacy, fue citado en su momento en la página web privacy.ca.gov diciendo:

«Este caso demuestra que la División de Cumplimiento tomará todas las medidas oportunas cuando las prácticas no cumplan los requisitos legales».

9. DoorDash: multa de 375 000 dólares

En febrero de 2024, DoorDash fue multada con 375 000 dólares por compartir datos personales de forma indebida sin informarlo claramente a los consumidores y por no ofrecer opciones adecuadas para darse de baja.

Concretamente, la venta de datos se realizó a una cooperativa de marketing cuya identidad no se ha revelado, la cual utiliza los datos personales de los clientes de sus miembros para promocionar productos entre ellos.

En aquel momento, se citó al fiscal general Bonta diciendo:

«La participación de DoorDash en una cooperativa de marketing constituye una cesión de datos a efectos de la CCPA y vulnera los derechos de sus consumidores en virtud de nuestra histórica ley estatal de protección de datos».

Además de la multa, se ordenó a DoorDash que cumpliera plenamente con la CCPA y la CalOPPA, revisara todos los contratos con los proveedores de servicios de marketing y análisis, y presentara informes anuales al Fiscal General.

10. Todd Snyder: multa de 345 178 dólares

En mayo de 2025, la cadena de tiendas de ropa Todd Snyder fue sancionada con una multa de 345 178 dólares por incumplimientos relacionados con las cookies y el seguimiento, en virtud de la CCPA.

La división de cumplimiento de la CPPA determinó que la empresa no había configurado correctamente su portal de privacidad, lo que impidió que se atendieran las solicitudes de los consumidores de excluirse de la venta o el intercambio de sus datos.

La empresa también se vio en apuros por exigir a los consumidores que facilitaran más información de la necesaria para tramitar las solicitudes relacionadas con la privacidad, incluida la verificación de su identidad antes de permitirles oponerse a la venta o al intercambio de sus datos.

Macko, responsable de cumplimiento de la ley de CalPrivacy, lanzó en su momento una seria advertencia a todas las empresas sujetas a esta ley:

«Las empresas deben examinar minuciosamente sus soluciones de gestión de la privacidad para asegurarse de que cumplen con la ley y funcionan según lo previsto, ya que la responsabilidad recae en las empresas que las utilizan».

Añadió: «El uso de una gestión del consentimiento no te exime de cumplir con la normativa».

Esto pone de relieve lo fundamental que es para las empresas garantizar que cualquier solución de gestión del consentimiento que utilicen sea segura, cuente con respaldo legal y funcione correctamente, de manera que se ajuste a la normativa sobre protección de datos.

Una constante: las empresas no cumplen los requisitos de exclusión voluntaria de la CCPA

Hay un denominador común en las nueve infracciones de la CCPA que se tratan en este artículo:

Estas empresas siguen sin cumplir los requisitos de exclusión voluntaria de la CCPA, cuyo objetivo es proteger a los consumidores y permitirles ejercer sus derechos de privacidad.

La CCPA otorga claramente a los californianos el derecho a oponerse al tratamiento de datos en los siguientes casos:

  1. Publicidad dirigida,
  2. Compartir o vender sus datos,
  3. Limitar el uso de sus datos personales sensibles,
  4. También deben respetarse las solicitudes de exclusión a nivel del navegador configuradas mediante herramientas como Global Privacy Control.

Es evidente que la Fiscalía General de California y la CPPA no tienen intención de bajar el ritmo en lo que respecta a llevar a cabo investigaciones y sancionar las violaciones de la privacidad.

Asegúrate de que tu publicidad está dirigida a un público específico y de que compartes y vendes datos de una forma que se ajuste debidamente a todas las leyes de protección de datos que afectan a tu negocio; de lo contrario, prepárate para afrontar las consecuencias.

Cómo Termly las empresas a cumplir con la CCPA

Tu sitio web puede evitar multas en virtud de la CCPA si te aseguras de cumplir todas las directrices sobre consentimiento y transparencia establecidas por la ley.

Herramientas como gestión del consentimiento Termly y Generador de política de privacidad lo hacen muy fácil, especialmente con funciones como el bloqueo automático de scripts, el consentimiento entre dominios y las normas de consentimiento regionales.

Con el respaldo de nuestro equipo jurídico y de expertos en protección de datos, nuestras herramientas se han diseñado para cumplir con la legislación de California en materia de privacidad, así como con todas las leyes estatales de EE. UU. actualmente en vigor y con normativas internacionales como el rgpd, la POPIA y otras.

¡Olvídate de las conjeturas y del miedo a las multas por incumplimiento normativo probando Termly !

La mayor multa impuesta hasta la fecha en virtud de la CCPA: preguntas frecuentes

A continuación se incluyen las respuestas a las preguntas más frecuentes sobre las multas de la CCPA.

¿Cuál es la sanción por infringir la CCPA?

 

Las multas por infringir la CCPA pueden ascender hasta 7.500 dólares por infracción. Los consumidores también tienen derecho a interponer acciones judiciales en virtud de esta ley.

 

¿Puedo meterme en problemas por infringir la CCPA?

 

Si está sujeto a la CCPA y es objeto de una investigación por parte del Fiscal General o de CalPrivacy y se determina que incumple la ley, puede meterse en problemas, sobre todo si no subsana la situación a tiempo.

 

Referencias

Entre las fuentes citadas en este artículo se incluyen:

  1. https://cppa.ca.gov/
  2. https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
  3. https://oag.ca.gov/news/press-releases/when-it-comes-data-privacy-consumers-must-be-driver%E2%80%99s-seat-attorney-general
  4. https://oag.ca.gov/news/press-releases/california-wont-let-it-go-attorney-general-bonta-announces-275-million
  5. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-largest-ccpa-settlement-date-secures-155
  6. https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-14-million-settlement-mobile-app-gaming-company
  7. https://cppa.ca.gov/announcements/2025/20250930.html
  8. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement
  9. https://privacy.ca.gov/2026/03/youth-sports-media-company-to-pay-1-1-million-fine-change-practices-over-privacy-violations/
  10. https://privacy.ca.gov/2026/03/ford-to-change-practices-pay-fine-for-adding-unnecessary-friction-to-opt-out-process/
  11. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-doordash-investigation-finds-company
  12. https://cppa.ca.gov/announcements/2025/20250506.html

descargo de responsabilidad: El contenido de este artículo refleja la información disponible públicamente a fecha de 12 de mayo de 2026, pero es posible que no refleje los totales reales de todas las multas y acuerdos extrajudiciales en curso en virtud de la CCPA y la CPRA.

Natasha Piirainen

Escrito por Natasha Piirainen

Natasha Piirainen es una escritora especializada en privacidad con una licenciatura en Inglés y Filosofía por el Wheaton College y más de 10 años de experiencia profesional en el desarrollo de contenidos basados en la investigación.

Leer todas las publicaciones de Natasha Piirainen
Amanda Lee

Revisado por Amanda Lee

Amanda es especialista en documentación y profesional certificada en privacidad (EE. UU.). Convierte la documentación del producto en un producto fácil de entender para los clientes de Termly. También conoce a fondo las leyes y normativas estadounidenses sobre privacidad, lo que le ayuda a mantener actualizadas las políticas de los clientes en un momento en que los estados de EE. UU. promulgan cada vez más leyes sobre privacidad.

Leer todas las publicaciones revisadas por Amanda Lee
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Generar una política de privacidad CCPA

Responda a unas sencillas preguntas para generar su póliza conforme a la CCPA en cuestión de MINUTOS.
Generar política de privacidad CCPA

Artículos Relacionados

  1. Ley de Protección de Datos del Consumidor de Alabama-01
    Ley de Protección de Datos Personales de Alabama: primer análisis y resumen
    Artículos

    4 de mayo de 2026
    Natasha Piirainen
  2. Ley de Privacidad de los Datos de los Consumidores de Oklahoma-01
    Ley de Privacidad de los Datos de los Consumidores de Oklahoma: primer análisis y resumen
    Artículos

    4 de mayo de 2026
    Natasha Piirainen
  3. Consejos sencillos para cumplir con la normativa al recopilar direcciones de correo electrónico-01
    Consejos sencillos para cumplir con la normativa al recopilar direcciones de correo electrónico en tu sitio web
    Artículos

    20 de abril de 2026
    Duncan Elder
  4. Termly frente a Transcend-01
    Termly Transcend: comparación de características y ventajas
    Comparaciones

    27 de marzo de 2026
    Ali Talip Pınarbaşı, CIPP/E y Máster en Derecho
  5. Termly contra Didomi-01
    Termly Didomi: comparación de características y ventajas
    Comparaciones

    27 de marzo de 2026
    Ali Talip Pınarbaşı, CIPP/E y Máster en Derecho
  6. Termly frente a políticas de privacidad-01
    Termly PrivacyPolicies.com: comparación de características y ventajas
    Comparaciones

    27 de marzo de 2026
    Ali Talip Pınarbaşı, CIPP/E y Máster en Derecho
  7. Consentimiento para el uso de cookies para empresas emergentes y empresas de IA 01
    consentimiento de cookies startups y empresas de IA
    Artículos

    20 de febrero de 2026
    Natasha Piirainen
  8. Los 8 servicios de terceros más comunes en sitios web y sus riesgos para la privacidad-01
    Los 8 servicios de terceros más comunes en sitios web y sus riesgos para la privacidad
    Artículos

    20 de febrero de 2026
    Hanna De La Garza
  9. Guía sobre leyes y normativas de protección de datos para 2026-01
    Guía sobre leyes y normativas de privacidad de datos para 2026
    Artículos

    27 de enero de 2026
    Natasha Piirainen

Explore más recursos